Der Gesetzgebungsprozess zur Europäischen KI-Verordnung (KI-VO) ist weit fortgeschritten und befindet sich in den finalen Phasen. Nach dem Trilog-Verfahren, das vom 6. bis zum 8. Dezember 2023 stattfand, haben sich Vertreter des Europäischen Parlaments, des Rates der Europäischen Union und der Europäischen Kommission vorläufig auf einen Entwurf geeinigt. Die Einigung muss nun formell vom Europäischen Parlament und vom Rat verabschiedet werden. 20 Tage nach der Veröffentlichung im Amtsblatt tritt die KI-VO in Kraft. Die neuen Regelungen kommen grundsätzlich 24 Monate nach Inkrafttreten zur Anwendung, wobei bestimmte KI-Systeme innerhalb kürzerer Fristen reguliert werden sollen. Zusätzlich plant die Kommission einen KI-Pakt zur freiwilligen frühen Einhaltung der Regelungen .
Die KI-VO zielt darauf ab, eine spezifische Regulierung für künstliche Intelligenz zu etablieren, die sich auf Produktsicherheit fokussiert und Anforderungen an Anbieter und Nutzer von KI-Systemen stellt. Sie behandelt insbesondere den Umgang mit personenbezogenen Daten in KI-Anwendungen und sieht vor, dass das bestehende Datenschutzrecht unberührt bleibt. Dabei werden unter anderem Hochrisiko-KI-Systeme, biometrische Identifizierung und die Governance von Daten adressiert. Die Verordnung berücksichtigt auch den Schutz natürlicher Personen und strebt danach, die Rechte der Betroffenen zu wahren, wobei sie technikneutrale Datenschutzrechte neben spezifischeren KI-Regelungen bestehen lässt .
Die KI-VO unterscheidet zwischen verschiedenen Risikoklassen von KI-Systemen und legt je nach Risikoklasse unterschiedliche Regulierungsstufen fest. Hochrisiko-KI-Systeme müssen strengeren Regeln folgen, die sich unter anderem auf Risikominderung, hochwertige Datensätze und klare Nutzerinformationen beziehen. Unannehmbare Risiken durch KI-Systeme führen zu einem vollständigen Verbot solcher Anwendungen .
Wesentliche Punkte sind:
- Datenqualität und -Governance: Artikel 10 der KI-VO legt besonderen Wert auf die Steigerung der Datenqualität durch spezifische Qualitätsvorgaben und Daten-Governance-Maßnahmen. Im Unterschied zum Datenschutzrecht, das sich auf Informationen über einzelne Personen konzentriert, befasst sich die KI-VO mit der Qualität von Datensätzen als Ganzes. Selbst bei Fehlern oder Unvollständigkeiten in einzelnen Datenelementen kann ein Datensatz den Anforderungen entsprechen, sofern er „nach bestem Vermögen“ die Kriterien erfüllt.
- Verarbeitung personenbezogener Daten: Die Verarbeitung personenbezogener Trainingsdaten für Hochrisiko-KI erfordert eine gesetzliche Grundlage nach Artikel 6 und gegebenenfalls Artikel 9 der Datenschutz-Grundverordnung (DS-GVO). Zusätzliche Datenverarbeitungsvorgänge zur Einhaltung der KI-VO-Anforderungen benötigen eine explizite rechtliche Verpflichtung zur Datenverarbeitung.
- Erkennung und Korrektur von Verzerrungen (Biases): Artikel 10 Absatz 5 der KI-VO schafft eine Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten zur Erkennung und Korrektur von Verzerrungen in KI-Systemen. Dies adressiert Unsicherheiten im Kommissionsentwurf bezüglich des Fehlens spezifischer Schutzmaßnahmen, die durch einen Katalog spezieller Anforderungen behoben wurden.
- Relevanz und Repräsentativität von Eingangsdaten: Artikel 29 Absatz 3 weist Nutzern von Hochrisiko-KI-Systemen die Pflicht zu, die Relevanz und Repräsentativität der Eingangsdaten sicherzustellen.
Praxisrelevanz bei der Nutzung von KI
Jedweder Art von Verarbeitung personenbezogene Daten in Umgebungen, die eine künstliche Intelligenz nutzen, wird an den Anforderungen der DSGVO zu messen sein. Allerdings normiert die KI-VO auch eine eigenständige Rechtsgrundlage zur Verarbeitung von besonders sensiblen Daten über Art. 10 Abs. 5. oOb diese Rechtsgrundlage genutzt werden kann, hängt jedoch von der engen Begrenzung des zwecks ab. Dies ist in jedem Fall, genau wie jede andere Rechtsgrundlage bei der Verarbeitung personenbezogene Daten, im Vorfeld zu prüfen.
Recent Comments